全局组: 只能在创建该全局组的域上进行添加用户账户和全局组,而且全局组可以嵌套在其他组中。可以将某个全局组添加到同一个域上的另一个全局组中,或添加到其他域的通用组和域本地组中(注意这里不能它加入到不同域的全局组中,全局组只能在创建它的域中添加用户和组)。虽然可以利用全局组授予访问任何域上的资源的权限,但一般不直接用它来进行权限管理。
本地域组: 可以从任何域添加用户账户、通用组和全局组。域本地组不能嵌套于其他组中。它主要是用于授予位于本域资源的访问权限。
通用组:通用组是集合了上面两种组的优点,即可以从任何域中添加用户和组,可以嵌套于其他域组中。但是只能在域处于本机模式的时候使用,也就是说所有域控都必须是2000以上系统。
比如:有两个域,A和B,A中的5个财务人员和B中的3个财务人员都需要访问B中的“FINA”文件夹,这时,可以在B中建一个DL,因为DL的成员可以来自所有的域,然后把这8个人都加入这个DL,并把FINA的访问权赋给DL。这样做的坏处是什么呢?因为DL是在B域中,所以管理权也在B域,如果A域中的5个人变成6个人,那只能A域管理员通知B域管理员,将DL的成员做一下修改,B域的管理员太累了。
这时候,我们改变一下,在A和B域中都各建立一个全局组(G),然后在B域中建立一个DL,把这两个G都加入B域中的DL中,然后把FINA的访问权赋给DL。哈哈,这下两个G组都有权访问FINA文件夹了,是吗?组嵌套造成权限继承嘛!这时候,两个G分布在A和B域中,也就是A和B的管理员都可以自己管理自己的G啦,只要把那5个人和3个人加入G中,就可以了!以后有任何修改,都可以自己做了,不用麻烦B域的管理员!这就是AGDLP。
注:A表示用户账号,G表示全局组,U表示通用组,DL表示域本地组,P表示资源权限。A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。
如何判断用户是否登录到某个域
注册表键值位置
1 | HKEY_CURRENT_USER\Volatile Environment |
USERDNSDOMAIN的键值内容即为当前已登录到的域的域名
使用Log Parser Lizard分析Windows日志
Log Parser Lizard是基于Log Parser的图形化工具
界面友好,早就听过该软件的大名,一直没用过,今天要通过分析日志找到删除某个文件的人,当然前提是你的文件要开启对象访问设置(文件夹属性-安全-高级-审核-添加对象访问设置,详细请google吧)
方法如下,先安装好Log Parser Lizard,事件类型选择Windows Event Log,在最下方的Query中写入如下查询语句
select * from D:\yourname.evt where EventID=560 and Strings like '%关键字%' and Message like '%DELETE%'
D:\yourname.evt是你的日志文件,或者直接输入System则为读取本机系统日志
EventID=560是限定事件ID,560指的文件特权操作,当然包含了删除动作,呵呵
Strings like ‘%关键字%’ 设置文件或文件夹关键字过滤,这里输入被删文件文件名就可以了
Message like ‘%DELETE%’ 这个限定了文件特权动作为删除动作
按此方式就可以分析出来限定关键字文件的删除日志,可以查到哪个IP和帐号删除的文件
使用tomato解决DNS域名劫持问题
近几年,国内各大电信运营商因为利益驱使纷纷开始在DNS服务器上搞域名劫持,通常的现象就是我们访问一个不存在的域名(比如我们打错了),运营商会自动跳转到一个智能域名纠错的网站,通常还包含有各种广告,很是烦人。
有时候由于一些网站使用CDN加速,甚至是正常的域名偶尔也会解析到广告IP,解决这种问题的最根本办法就是建立自己的DNS缓存服务器,我所在的公司就因为经常遇到DNS劫持和DNS服务器服务不稳定等问题而不得不自行搭建DNS缓存服务器来一劳永逸的解决问题。
不过很多个人用户无法搭建自己的DNS缓存服务器,针对个人用户有两种解决办法,一是使用自制(Linux)系统的路由器进行设置,比如Tomato固件的路由器就有类似功能,首先ping一个不存在的域名,记下解析到的IP,然后到管理界面,找到Advanced-DHCP/DNS,找到Dnsmasq,填入bogus-nxdomain=60.19.29.21
60.19.29.21这个IP是我的宽带运营商的广告IP,请按自己的做修改,可以填写多行,运营商定期会更换IP的,我就把60.19.29.21-60.19.29.25都填进去了,保存即可生效,再次ping一个不存在的域名,就会提示不存在了。
如果没有自制系统的路由器,那就需要更改本机的DNS了,改成opendns或者其他的,或者自己改hosts文件,把广告的域名都解析到本地127.0.0.1这个IP上。
Linux下让tftp忽略大小写
由于需要实现pxe启动winpe,而在windows下实现没出什么问题,可是在Linux服务端上就有问题了,原因是启动所需的文件大小写不一致,导致linux服务端无法提供正确的文件而无法启动pe,下面我们来进行以下操作,让Linux下的tftp忽略大小写:
首先,创建规则文件,来让所有tftp的文件请求中的所有字符都变成小写创建如下文件
1 | #cat /tftpboot/rules |
DFS分布式文件系统标签屏蔽
在做DFS时,客户端用户在访问DFS文件夹时候,点击右键,属性,可以看到有一个DFS标签,显示了该文件夹的网络路径。如果管理员并不想将这些信息显示给用户,可以隐藏掉DFS选项卡.
这个需求可以用组策略来实现.这个组策略是用户策略,所以这样的策略需要定义在用户所在OU上,或者可以直接定义在默认域策略上(应用到所有用户)
编辑域策略或者用户所在OU策略
展开 “用户配置管理模板windows组件windows 资源管理器”
在右侧栏中找到选项 “删除DFS选项卡”
双击并设置为 “启用”
这样用户在使用DFS文件夹的时候,就不会看到 “DFS”这个选项卡了
CISCO加密密码破解
CISCO设备默认密码是明文显示,存在于配置文件中
但出于安全考虑,可以将密码设置为暗文显示
增加如下配置
1 | service password-encryption |
此后,密码相关的配置会按如下显示
squid限制带宽配置
squid限速、限制带宽配置
1 | acl xxx dstdomain .xxx.com #设置不限速的网站域名 |
Linksys SPA3000设置
用voip好几年了,没发现太好的落地,在中国还是传统的PSTN做落地最靠谱了。
voip网关从RT31P2,到PAP2,再到家里现在用的SPA3000,一路用来都挺不错的。
不过最近家里的SPA3000出了点问题,PSTN的线路不好用了,看了设置也没发现什么问题,只好换了一个SPA3000,重新设置一下就好了,这里说一下设置方法。
Line1中设置Proxy地址为voip服务器地址,还有帐号密码,主要需要设置的是Dial Plan,默认是下面的
1 | (*xx|[3469]11|0|00|[2-9]xxxxxx|1xxx[2-9]xxxxxxS0|xxxxxxxxxxxx.) |
由于我的需求比较简单,只是需要直拨走voip,按#0可以拨传统的PSTN,设置如下
1 | (*xx.|<#0,:>xx.<:@gw0>|xx.) |
解决vsftpd上传文件在samba下乱码问题
由于特殊需求,服务器上的一个文件夹既要可以使用ftp访问,又要可以使用samba文件共享方式访问,于是在服务器上安装了samba和vsftpd(选vsftpd是因为centos安装盘上自带,偷个懒),安装使用大体没问题,但发现通过vsftpd上传的文件,在samba下看是乱码,并且很多乱码文件无法删除,估计是编码问题,搜了一下,果然如此。
其原因就是vsftp没有处理编码,而一般用IE或者别的工具上传文件就会使用GB2312编码,Linux服务器上使用的是utf8编码,用samba访问肯定造成乱码,如果使用Firefox设置默认使用UTF8编码的话就可以解决这个问题,但是没法要求客户端都统一做这个设置,并且也不能避免用户使用IE登录FTP,只好在服务器上下手了。
因为是迁就客户端,所以vsftpd上不用做修改了,只需要修改samba配置文件,让samba使用的编码更改成中文编码就可以了
在/etc/samba/smb.conf文件中[global]区域内增加如下配置,如果已有则修改成如下配置。
